[发明专利]一种基于软件的安全隔离网闸

说明书

本发明提供一种基于软件的安全隔离网闸，属于网络安全设备领域，本发明在一台普通的支持虚拟化和具有两个网口的X86服务器上安装虚拟机管理程序VMM（3000），虚拟机管理程序VMM（3000）可以是Centos V7.0，虚拟机管理程序VMM（3000）虚拟出外网处理VM(1000)和内网处理VM(2000)两台虚拟机，外网处理VM(1000)只可访问外网的文件系统，内网处理VM(2000)只可访问内网的文件系统，来自外网的文件通过外网处理VM(1000)摆渡到内网处理VM(2000)并最终交换到内网，达到内外网安全隔离和外网文件向内网单向安全交换目的。

技术领域

本发明涉及网络安全设备领域，尤其涉及一种基于软件的安全隔离网闸。

背景技术

网闸，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。网闸是一般是专用硬件和改造后的专用操作系统实现，成本较高，且部署不灵活。

不少网闸厂家在设计网闸产品时，为了方便客户业务的方便，在网闸内外网接口上解析各种应用协议，一方面剥离成数据，另一面又恢复成应用协议，网闸可以根据安全检测的结果，合乎要求的让通过，不合要求的就阻断。这样不仅仅实现数据的交换，而且实现了业务应用的代理访问，有些网闸产品实现了外网的访问者访问内网的服务器。这种解析不仅有覆盖常见应用协议的趋势，而且对数据库的访问也代理通过，为缓冲区溢出、SQL注入等攻击提供了生存的温床，存在极大的安全隐患。

发明内容

为了解决以上技术问题，本发明提出了一种基于软件的安全隔离网闸。它能隔断内外网任何协议连接，来自外网的任何攻击、病毒、木马等都不会影响到内网设备的正常运行，同时相对于传统的物理隔离网闸成本更加低廉且具有较好的文件摆渡性能。

本发明的技术方案是：

一种基于软件的安全隔离网闸，在一台普通的支持虚拟化和具有两个网口的X86服务器上安装虚拟机管理程序VMM（3000），虚拟机管理程序VMM（3000）是Centos V7.0，虚拟机管理程序VMM（3000）虚拟出外网处理VM(1000)和内网处理VM(2000)两台虚拟机，外网处理VM(1000)只可访问外网的文件系统，内网处理VM(2000)只可访问内网的文件系统，来自外网的文件通过外网处理VM(1000)摆渡到内网处理VM(2000)并最终交换到内网，但外网任何协议不能通过以上VM连接到内网，内网任何协议也不能通过以上VM连接到外网。

安装虚拟机管理程序VMM（3000）的X86服务器上有两个网口，eth0(3001)和eth1(3002)，分别连接外网和内网，eth0(3001)和eth1(3002)间不能进行网络包转发；管理程序VMM（3000）除基本的操作系统功能和虚拟机管理模块外，不安装其它模块，关闭了与IP地址相关的服务和锁定root以外的用户并限制root用户不能远程登录，管理员只能通过连接该服务器的键盘和鼠标操作该系统，远程和其它方式均不能访问该系统。

外网处理VM(1000) 配置有两个虚拟网卡：veth0(1001)和veth1(1002)，其中veth0(1001)与eth0(3001)以NAT方式建立映射关系，外网处理VM(1000)通过veth0(1001)访问外网，外网和内网均不能访问veth0(1001)。

内网处理VM(2000) 配置有两个虚拟网卡：veth0(2001)和veth1(2002)，其中veth0(2001)与eth1(3002)以NAT方式建立映射关系，内网处理VM(2000)通过veth0(2001)访问内网，内网和外网均不能访问veth0(2001)。